Javított egy biztonsági hibát a Meta, melyet kiaknázva a Meta AI chatbot felhasználói hozzáférhettek más felhasználók promptjaihoz és a chatbot nekik küldött válaszaihoz – írja a TechCrunch.
A portálnak Sandeep Hodkasia, az AppSecure alkalmazásbiztonság-tesztelő vállalat alapítója számolt be a problémáról, melyet ő fedezett fel, és még 2024. december 26-án tájékoztatta róla a Metát. A techóriás 10 000 dollárral, azaz körülbelül 3,4 millió forinttal jutalmazta a felfedezést.
A hibát 2025. január 24-ln javította is a Meta, és Hodkasia szerint nincs is arra vonatkozó bizonyíték, hogy a rosszindulatú felek is felfedezték volna maguknak. Pedig elég komolynak tűnik a hiba: a szakember arra lett figyelmes, hogy amikor egy felhasználó szerkeszti a promptját – a chatbotnak küldött parancsát, ami az eszközzel egyébként lehetséges –, akkor a Meta szerverei egy egyedi számot rendelnek a parancshoz, és az MI válaszához is.
Hodkasia a böngészője hálózati forgalmát elemezve rájött: miközben szerkeszti az MI-parancsot, meg tudja változtatni ezt az egyedi számot, és így a Meta szerverei egy másik felhasználó MI-promptját és válaszát adják vissza. Röviden: pár mozdulattal el lehetett érni, hogy valaki más beszélgetése jelenjen meg a felhasználó előtt.
Ez azt jelenti, hogy a Meta szerverei nem ellenőrizték kellőképpen, hogy a felhasználó jogosult-e látni egy adott azonosítóhoz rendelt promptot. Ugyan a fenti módszer egy laikus számára bonyolultnak tűnhet, de a rosszindulatú felek számára ez ujjgyakorlat, és ha felfedezték volna, gyakorlatilag bármennyi beszélgetést el tudtak volna lopni.
Nem ez az első probléma a Meta AI-jal, korábban a felhasználók figyelmetlensége miatt is nyilvánosságra került sok beszélgetés – igaz, ehhez szükség volt a rendszer félreérthető működésére is.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
